Головна  /  Жорсткі диски  /  Конвертувати cer в pfx з закритим ключем. Використання сертифіката ключа електронного підпису

Конвертувати cer в pfx з закритим ключем. Використання сертифіката ключа електронного підпису

Жорсткі диски
19.09.2020

Примітка: якщо вам потрібно / хочете / віддати перевагу рішення, то ви можете захотіти використовувати http://www.bouncycastle.org/ api.

Використовуйте інтерфейс IIS «Серверні сертифікати» для «Генерації запиту сертифіката» (подробиці цього запиту виходять за рамки даної статті, але ці деталі є критичними). Це дасть вам CSR, підготовлену для IIS. Потім ви надаєте CSR своєму CA і запитуєте сертифікат. Потім ви берете файл CER / CRT, який вони вам дають, поверніться в IIS, «Повний запит сертифіката», в тому ж місці, де ви створили запит. Він може запросіть.CER, і у вас може бить.CRT. Це одне і теж. Просто змініть розширення або використовуйте список, що розкривається розширення . , Щоб вибрати свой.CRT. Тепер дайте правильне «дружнє ім'я» (* .yourdomain.com, yourdomain.com, foo.yourdomain.com і т. Д.) ЦЕ ВАЖЛИВО! Це ПОВИННО відповідати тому, що ви налаштовуєте для CSR і що надав вам ваш CA. Якщо ви попросили підстановлювальний знак, ваш ЦС повинен був затвердити і згенерувати підстановлювальний знак, і ви повинні використовувати його. Якщо ваша CSR була згенерована для foo.yourdomain.com, ви ПОВИННІ надати те ж саме на цьому етапі.

Спочатку нам потрібно витягти кореневий сертифікат ЦС з существующего.crt, тому що нам це потрібно пізніше. Отже, откройте.crt і натисніть на вкладці «Шлях до сертифікату».

Натисніть самий верхній сертифікат (в цьому випадку VeriSign) і натисніть «Переглянути» Сертифікат. Перейдіть на вкладку «Відомості» і натисніть «Копіювати в файл» ...

Виберіть сертифікат, закодований в Base-64 X.509 (.CER). Збережіть його як rootca.cer або щось подібне. Помістіть його в ту ж папку, що і інші файли.

Перейменуйте його з rootca.cer в rootca.crt Тепер у нас повинно бути 3 файлу в наше папка, з якої ми можемо створити файл PFX.

Тут нам потрібно OpenSSL. Ми можемо або завантажити та встановити його в Windows або просто відкрити термінал в OSX.

<�Сильный> EDIT:

    After successfully install, export the certificate, choose .pfx format, include private key.

    The imported file can be uploaded to server.

((Відповідні цитати зі статті наведені нижче))

Потім вам потрібно створити файл.pfx, який ви будете використовувати для підписання ваших розгортання. Відкрийте вікно командного рядка і введіть наступну команду:

PVK2PFX -pvk yourprivatekeyfile.pvk -spc yourcertfile.cer -pfx yourpfxfile.pfx -po yourpfxpassword

  • pvk - yourprivatekeyfile.pvk - це файл секретного ключа, створений на кроці 4.
  • spc - yourcertfile.cer - це файл сертифіката, створений на кроці 4.
  • pfx - yourpfxfile.pfx - це ім'я створюваного файла.pfx.
  • po - yourpfxpassword - пароль, який ви хочете призначити файлу.pfx. Вам буде запропоновано ввести цей пароль при додаванні файла.pfx в проект в Visual Studio в перший раз.

(Необов'язково (а не для OP, але для майбутніх читачів) ви можете створювати файли.cer і.pvk з нуля) (ви зробили б це перед початком вище). Зверніть увагу, що mm / dd / yyyy є наповнювачами для дат початку і закінчення. див. статтю msdn для повної документації.

Makecert -sv yourprivatekeyfile.pvk -n "CN \u003d My Certificate Name" yourcertfile.cer -b mm / dd / yyyy -e mm / dd / yyyy -r

Це дозволить вам створити PFX з вашого сертифіката та закритого ключа без необхідності установки іншої програми.

Нижче наведені кроки, які використовуються для запитаного сценарію.

<�Ол>
  • Виберіть поточний тип \u003d PEM
  • Змінити для \u003d PFX
  • Завантажити сертифікат
  • Завантажте свій закритий ключ
  • Якщо у вас є сертифікат ROOT CA або проміжні сертифікати, завантажте їх теж.
  • Задайте пароль за вашим вибором, який використовується в IIS
  • Натисніть reCaptcha, щоб довести, що ви не бот
  • Натисніть «Перетворити»

І ви повинні завантажити PFX і використовувати це в своєму процесі імпорту в IIS.

Сподіваюся, що це допоможе іншим, як однодумцям, ледачим технічним людям.

Після покупки сертифікату Ви можете завантажити його в розділі "Загальні послуги". Якщо ж Ви встановлюєте сертифікат на Ваш сервер, скористайтеся представленими тут прикладами установки.

становленнЯ на хостинг .masterhost

Якщо потрібно встановити сертифікат на домен, який розміщений на нашому віртуальному хостингу, то зробити це можливо в двома способами:

  • SNI (безкоштовно):

    Древо послуг - Домен - Підтримка SSL - Додати.

  • Виділений IP (140 рублів на місяць. Звичайно потрібно для роботи з деякими платіжними системами):

    Древо послуг - Домен - Виділений IP \\ SSL - Додати.

    У випадаючому меню вибираєте сертифікат.

* Для поновлення сертифіката, наприклад, після його продовження, виконуєте аналогічні дії:

Древо послуг - Домен - Підтримка SSL або Виділений IP \\ SSL

(В залежності від способу установки) - Змінити.

становленнЯ на Windows-хостинг

Якщо у Вас Windows-майданчик, установка сертифікату також можлива двома способами:

Для установки сертифіката на виділений IP-адреса потрібна спочатку об'єднати отримані у нас файли .crt і .key в один файл .pfx.
Вам потрібно виконати таку команду:

openssl pkcs12 -export -out domain.tld.pfx -inkey privateKey.key -in certificate.crt * Domain.tld - Ваш домен.
domain.tld.pfx - ім'я сертифіката, який Ви отримаєте в результаті об'єднання;
privateKey.key - закритий ключ;
certificate.crt - сам сертифікат, який ми Вам видали.

При виконанні команди двічі задаємо пароль для pfx і записуємо його в файл domain.tld.pwd. Обидва файли (domain.tld.pwd і domain.tld.pfx) копіюємо в корінь майданчики (корінь майданчики - це каталог, в якому розташовані папки Ваших доменів), після цього підключаємо послугу "Виділений IP / SSL" в

Древо послуг - Домен - Виділений IP \\ SSL - Додати.

При виникненні труднощів зверніться в службу технічної підтримки.

pache

  • Передайте файли SSL сертифікату на Ваш сервер.
  • Потім потрібно знайти файл конфігурації Apache для редагування.

    Найчастіше подібні файли конфігурації зберігаються в / etc / httpd. в більшості випадків основною файл конфігурації називається httpd.conf. Але в деяких випадках блоки можуть перебувати в нижній частині файлу httpd.conf. Іноді Ви можете знайти такі блоки як окремо під Директорією, наприклад, /etc/httpd/vhosts.d/ або / etc / httpd / sites /, або в файлі, який називається ssl.conf.

    Перш ніж відкривати файл в текстовому редакторі, Ви повинні переконатися в наявності блоків в яких містять настройки Apache.

  • Далі встановіть блоки SSL для завдання конфігурації.

    Якщо Вам потрібно, щоб Ваш сайт працював і з захищеним, і з незахищеним з'єднанням, Вам необхідний віртуальний хост для кожного з'єднання. Для цього Вам слід сделть копію існуючого незахищеного віртуального хоста і створити його для SSL-з'єднання як зазначено в п. 4.

  • Потім створіть блоки для підключення SSL-з'єднання.

    Нижче для Вас наведено дуже простий приклад віртуального хоста для SSL-з'єднання. В SSL конфігурацію повинні бути додані частини, які виділені напівжирним:

    DocumentRoot / var / www / html2 ServerName www.yourdomain.com SSLEngine on SSLCertificateFile /path/to/your_domain_name.crt SSLCertificateKeyFile /path/to/your_private.key SSLCertificateChainFile /path/to/root.crt Ісправте імена файлів для узгодження з файлами сертифікатів:
    • SSLCertificateFile - файл Вашого сертифіката (наприклад: your_domain_name.crt).
    • SSLCertificateKeyFile - файл ключа, створеного при генерації CSR.
    • SSLCertificateChainFile - файл кореневого сертифіката.
  • Тепер перевірте конфігурацію Apache до перезапуску. Завжди краще перевірити файли конфігурації Apache на помилки до перезапуску. Так як Apache не запуститься заново, якщо в файлах конфігурації будуть фігурувати синтаксичні помилки. Для цього використовуйте наступну команду: apachectl configtest
  • А тепер можна перезапустити Apache.

ginx

  • Передайте файли сертифіката на сервер.

    Скопіюйте Ваш сертифікат (your_domain_name.crt) і кореневий сертифікат (root.crt) разом с.key-файлом який Ви генерували при створенні CSR-запиту в директорію на Вашому сервері, куди Ви збираєтеся встановити сертифікат. Для забезпечення безпеки, зберігайте файли з позначкою "тільки читання".

  • Соєденіте сертифікат з кореневим сертифікатом.

    Вам необхідно з'єднати файл сертифіката з файлом кореневого сертифіката в едіний.pem файл, виконавши наступну команду:

    cat root.crt \u003e\u003e your_domain_name.crt
  • Змініть файл віртуального хоста Nginx.

    Відкрийте Ваш файл віртуального хоста Nginx для сайту, який Ви захищаєте. Якщо Вам необхідно, щоб сайт працював і з захищеним з'єднанням (https), і з незахищеним (http), Вам потрібен серверний модуль для кожного типу з'єднання. Зробіть копію існуючого серверного модуля для незахищеного з'єднання і вставте нижче оригіналу. Після цього додайте рядки, які наведені нижче жирним шрифтом:

    server (listen 443; ssl on; ssl_certificate /etc/ssl/your_domain_name.crt; (or .pem) ssl_certificate_key /etc/ssl/your_domain_name.key; server_name your.domain.com; access_log / var / log / nginx / nginx. vhost.access.log; error_log /var/log/nginx/nginx.vhost.error.log; location / (root /home/www/public_html/your.domain.com/public/; index index.html;)) Налаштування імен файлів:
    • ssl_certificate - файл, що містить основний і кореневої сертифікати (крок 2).
    • ssl_certificate_key - файл з ключем, який був згенерований при створенні CSR.
  • Перезавантажте Nginx.

    Введіть наступну команду для перезавантаження Nginx:

    sudo /etc/init.d/nginx restart

xchange 2010

  • Скопіювати Ваш сертифікат на Exchange сервер.
  • Потім запустити консоль управління Exchange даними чином: Start\u003e Programs\u003e Microsoft Exchange 2010\u003e Exchange Management Console.
  • Тепер натисніть "Manage Databases" і далі "Server configuration".
  • Далі виберіть Ваш SSL сертифікат з меню в центрі вікна, потім натисніть на "Complete Pending Request" в меню "Actions".
  • Відкрийте файл Вашого сертифіката, після натисніть Open\u003e Complete

    Exchange 2010 досить часто видає повідомлення про помилку, яка починається фразою "The source data is corrupted or not properly Base64 encoded." Ігноруйте цю помилку.

  • Далі поверніться до консолі керування Exchange і натисніть "Assign Services to Certificate", щоб почати використовувати сертифікат.
  • Зі списку виберіть Ваш сервер, натисніть "Next".
  • Тепер виберіть сервіси, які повинні бути захищені сертифікатом і натисніть Next\u003e Assign\u003e Finish. Тепер Ваш сертифікат встановлено і готовий до використання на Exchange.

Для установки особистого сертифіката з проставленою посиланням на закритий ключ використовується додаток КріптоПро CSP. Запустити його в ОС Windows можна виконавши Пуск \u003e\u003e Всі програми \u003e\u003e КРИПТО-ПРО \u003e\u003e КріптоПро CSP. У вікні додатка потрібно вибрати вкладку Сервіс і в ній натиснути на кнопку Встановити особистий сертифікат. Далі слід вказати розташування файлу сертифіката (файл з расшіреніем.cer) і натиснути кнопку Далі. Вікно перегляду властивостей сертифіката дозволяє переконатися, що обрано правильний сертифікат; після перевірки знову натисніть на кнопку Далі.

У наступному вікні необхідно задати ключовий контейнер, що містить в собі закриті ключі користувача.

ВАЖЛИВО! У цьому кроці використовуються тільки знімні USB-носії або смарт-карти, а також реєстр операційної системи.

Додаток КріптоПро CSP версії 3.9 дозволяє знайти контейнер автоматично шляхом проставлення відповідного прапорця; більш ранні версії після натискання кнопки Огляд надають список наявних носіїв, у тому числі потрібно вибрати потрібний. Після вибору контейнера натисніть Далі. Наступне вікно дозволяє задати параметри установки сертифіката в сховище. Вибравши необхідне сховище, натисніть на кнопку Далі.

Наступний крок фінальний і не потребує будь-яких дій, крім натискання кнопки Готово.